Wolke2k4

Router2 - Router der Hauptgeschäftsstelle Anforderungen an den Router: 1. WAN IP = 10.0.0.1/8; LAN IP = 192.168.10.253/24 2. Er soll nur incomming Calls annehmen, selber aber nicht wählen. 3. Idle Timeout soll 300 Sekunden sein, bei Last soll sich der zweite Kanal dynamisch zu und wieder abschalten (siehe Router 1). hostname router2 ! boot-start-marker boot-end-marker ! logging buffered 8192 debugging <-- Was hat dieser Eintrag hier zu suchen, was macht er für "böse" Sachen?? enable secret XXXX. ! username ferdihof password XXXXXXXXX username torgelow password XXXXXXXXX no aaa new-model ip subnet-zero no ip source-route ! isdn switch-type basic-1tr6 ! ! ! interface Ethernet0 ip address 192.168.10.253 255.255.255.0 ip access-group 121 in no ip proxy-arp ! interface BRI0 no ip address encapsulation ppp dialer pool-member 1 isdn switch-type basic-1tr6 ppp authentication chap pap callin ppp multilink ! interface Dialer1 description RCN ip unnumbered Ethernet0 <-- Hier ist die IP unnumbered, passt doch irgendwie nicht zur Config des Router1 oder? ip access-group 121 in no ip proxy-arp encapsulation ppp no ip split-horizon dialer pool 1 dialer remote-name router1 dialer idle-timeout 300 dialer string vorwahl+msn class DialClass dialer string vorwahl+msn class DialClass dialer hold-queue 10 dialer load-threshold 10 either dialer-group 1 ppp authentication chap pap callin ppp chap hostname remotedial ppp chap password XXXXXXXX ppp pap sent-username remotedial password XXXXXXXX ppp multilink ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip http server ! ! map-class dialer DialClass access-list 121 deny udp any eq netbios-dgm any access-list 121 deny udp any eq netbios-ns any access-list 121 deny udp any eq netbios-ss any access-list 121 deny tcp any eq 137 any access-list 121 deny tcp any eq 138 any access-list 121 deny tcp any eq 139 any access-list 121 permit ip any any time-range TIME dialer-list 1 protocol ip permit ! line con 0 exec-timeout 120 0 transport preferred all transport output all stopbits 1 line vty 0 4 exec-timeout 0 0 login local transport preferred all transport input all transport output all ! ! time-range TIME periodic daily 0:00 to 23:59 ! ! end Auch hier fehlt noch RAS, wobei auch in diesem Fall die IP an den RAS Client automatisch vergeben werden soll. Die Authentifierzierung soll über CHAP laufen. Idle Timeout bleibt 300 Sekunden nur ein Kanal wird genutzt. Für Anregungen jeder Art bin ich dankbar!

So ich hab mir mal zwei Config zusammengebastelt (zugegeben mit Cisco Fast Step). Ich schreibe mal die jeweiligen Anforderungen dazu und das was noch fehlt. Vielleicht kann mir ja noch jemand auf die Sprünge helfen. Router1 - Router der Außenstelle Anforderungen an den Router: 1. WAN IP = 10.0.0.2/8; LAN IP = 192.168.190.253/24 2. Soll den Hauptrouter zunächst mit 64Kbit/s anwählen, wenn Zugriff auf Ressourcen der Hauptstelle erfolgt. 3. Idle Timeout soll 300 Sekunden sein, bei Last soll sich der zweite Kanal dynamisch zu und wieder abschalten. hostname router1 ! boot-start-marker boot-end-marker ! enable secret XXXXXX ! username user1 password XXXXXX username user2 password XXXXXX <-- Warum werden hier sowohl Username und Passwort für beide Router angegeben??? no aaa new-model ip subnet-zero no ip source-route ! isdn switch-type basic-1tr6 <-- DerSwitch-Type sollte für einen ganz normalen ISDN Mehrgeräteanschluss richtig sein oder? ! ! ! interface Ethernet0 ip address 192.168.190.253 255.255.255.0 ip access-group 121 in no ip proxy-arp ! interface BRI0 no ip address encapsulation ppp dialer pool-member 1 isdn switch-type basic-1tr6 ppp authentication chap pap callin <-- ist das Callin an dieser Stelle richtig? Der Router soll schliesslich nur wählen und nicht angewählt werden, ausser beim RAS. ppp multilink ! interface Dialer1 description RCN ip address negotiated <-- Sollte hier nicht die WAN IP stehen? ip access-group 121 in no ip proxy-arp encapsulation ppp no ip split-horizon dialer pool 1 dialer remote-name router2 dialer idle-timeout 300 dialer string vorwahl+msn class DialClass dialer string vorwahl+msn class DialClass dialer hold-queue 10 dialer load-threshold 10 either <-- Reicht der Wert 10? Ab wann würde sich der zweite Kanal dazu schalten? dialer-group 1 ppp authentication chap pap callin ppp chap hostname remotedial ppp chap password XXXXX ppp pap sent-username remotedial password XXXXXXX ppp multilink ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 <-- Wenn ich mich nicht täusche sollte dies die kriegsentscheidene Route sein, die sämtliche Pakete über die ISDN Leitung zum Router 2 schickt?? ip http server ! ! map-class dialer DialClass access-list 121 deny udp any eq netbios-dgm any access-list 121 deny udp any eq netbios-ns any access-list 121 deny udp any eq netbios-ss any access-list 121 deny tcp any eq 137 any access-list 121 deny tcp any eq 138 any access-list 121 deny tcp any eq 139 any access-list 121 permit ip any any time-range TIME dialer-list 1 protocol ip permit ! line con 0 exec-timeout 120 0 transport preferred all transport output all stopbits 1 line vty 0 4 exec-timeout 0 0 login local transport preferred all transport input all transport output all ! ! time-range TIME periodic daily 0:00 to 23:59 ! ! end Theoretisch wäre die Config an sich schon ok oder gibt es Einwände bzw. Kommentare zu meinen Fragen in der Config? Was fehlt ist noch ein RAS Zugang, wobei die IP an den RAS Client automatisch vergeben werden soll (CHAP). Idle Timeout kann auch 300 Sekunden sein und nur ein Kanal soll genutzt werden! Weiter mit der Router2 Config im nächsten Post...

Gehst du direkt über den Desktop? Also hast du den Drucker nicht als Admin in der TS Sitzung am Server installiert? Was passiert, wenn du mit einem Nutzer Konto den Drucker oder irgendeinen anderen im Netz erreichbaren Drucker nachinstallierst???

Mir ist noch nicht ganz klar, wie Deine Umgebung aussieht... Wenn du auf deinen Firmenserver via VPN zugreifen kannst wieso öffnest du das Word Dokument nicht dirket auf deinem Rechner Zuhause und jagst es dann zum Drucker???

Vorausgesetzt die TC unterstützen hardwareseitig eine größere Auflösung kann man diese ggf. in den RDP Client Einstellungen anpassen. Auch hier gilt: Solange es der Thin Client unterstützt kann man die entsprechende Option im RDP Client einstellen. siehe RDP Client Einstellungen...???

Der Haken für Drucker unter Lokale Geräte im Karteireiter Lokale Ressourcen ist gesetzt, wenn sich die Nutzer am TS anmelden?? Wie wurde der "richtige" Drucker am TS installiert? Wie schaut es aus, wenn du den "richtigen" Drucker der am TS installiert ist direkt an den Clients installierst? Der Drucker sollte dann im Normalfall in die Sitzung gemappt werden. Probleme welcher Art? Habe bis jetzt noch keine feststellen können... Was schon fast darauf schliessen lässt, dass der oben genannte Haken nicht gesetzt ist. Das Eventlog wird IMMER mit Meldungen bombadiert, wenn Drucker erstellt oder gelöscht werden.

Gibt's das Ganze mal irgendwo zum Nachlesen, am besten leicht verdaulich mit einer Prise Praxisbeispiele???

Auch hier spielt wieder eine Rolle, welchen Weg zum CCNA du beschreiten möchtest. Es gibt Bootcamps, da bekommst Du den Stoff innerhalb weniger Tage reingehämmert. Um sich auch einigermaßen dem Stoff widmen zu können sollte man jedoch ca. 6-8 Wochen bei der Academy einplanen. Wenn Du kannst empfehle ich Dir den CCNA berufsbegleitend zu machen. Da sollte es von den Kosten her nicht ganz so viel sein (1.000€ - 2.000€). Wie es sonst mit den Kosten ausschaut erfragst Du am besten bei einer Academy in Deiner Nähe (siehe Academy Locator) In der Regel dürften sich die Kosten aber im Rahmen um die 3.500 - 5.000€ bewegen.

Dazu mal folgenden interessanten Link . Dabei geht es zwar unter anderem um den Terminal Server aber der Rest ist durchaus wissenswert.

Imho ist der CCNA ein absolutes Muss in Sachen Grundlagen für Netzwerke/Netzwerkkommunikation. Der CCNA war (zumindest als ich ihn gemacht habe) eine gute Mischung aus Grundlagenwissen bis hinauf zum 1x1 des IP Routings. Ich kann auch nicht behaupten, dass Cisco an jeder Ecke das vorherschende Thema war, obwohl der CCNA natürlich schon darauf ausgelegt ist IOS und Co. an den Mann zu bringen. Wer sich wirklich reinhängt und gewillt ist zu lernen, der kann viel aus dem CCNA holen - auch wenn man recht schnell vergisst was NCP, SAP und wie sie alle heissen ist. Auch wer später nichts mehr mit Cisco Geräten zu tun hat wird die Grundlagen öfters mal gebrauchen. Natürlich kommt es auch darauf an, wie man den CCNA macht. Den Weg über die Cisco Academy halte ich dabei für den besten (von den Kosten mal abgesehen). Wichtig in diesem Zusammenhand sind dann natürlich auch die Dozenten. Meiner war zwar ein kleiner Freak aber verstehen konnte man ihn nur, wenn er ein Megafon mit sich rumtrug... ;)

Beispiel: 2 NT4.0 Server, einer PDC einer BDC 2 Windows Server 2003, einer Member Server auf dem SQL Server läuft, der andere ist TS (TS Lizenzierung ist klar) Sagen wir es gibt insgesamt 65 Clients im Netz. Nach der obigen Aussage würde ich dann lediglich 65 CALs für Windows Server 2003 benötigen...???? Wie und wenn überhaupt beisst sich das mit der CAL Lizenzierung per Device und per User????

Feste Strukturen lassen sich eben nicht so leicht umbiegen. Das Problem ist, dass die Umgebung hauptsächlich aus ThinClients besteht, denen die GPO egal ist. Da jedoch auch zwei "FatClients" im Netz stehen greift die GPO. Der bequemste Weg wäre also einfach zu verhindern, dass die GPOs für die zwei Clients greift... Ist der Ordner Grouppolicy sowohl für lokale als auch für die Domain GPO relevant???

Was aber, wenn die GPO an der Domain bzw. OU festgemacht wird? Klar sie gilt dann erstmal Domain weit. Würde es theoretisch reichen, dem Nutzer die Rechte des lokalen Grouppolicy Ordners zu entziehen/verweigern, damit die GPO lokal nicht wirkt???

Clients von NT rauf bis XP... Der DNS Server wird wahlweise via DHCP oder statisch zugewiesen, da sonst die Anmeldung schon kaffepauselang dauert. Daran kann es also nicht liegen.

Tschuldigung das ich als Zuschauer die nette Raterunde belästige aber ein Forum ist doch in der Regel dazu da um sich gegenseitig zu helfen oder? Wer hier was mit welchen Tools tut oder eben nicht sollte doch jeder selber entscheiden oder? Mir ist schon klar warum man in diesem Board so vorsichtig ist aber man sollte es auch nicht übertreiben.

Was spielen die Clients für eine Rolle?

Wunderhübsch!!! Werde ich bei Gelegenheit mal ausprobieren. Danke!

Moin, nachdem wir eine Migration von NT 4.0 nach W2K3 durchgeführt haben "schreien" die Nutzer, dass der Dateizugriff (vor allem das öffnen von Word Dateien) jetzt länger dauert. Die Umgebung besteht derzeit aus einem W2K3 DC, zwei Windows 2000 Member Servern und drei WinNT Servern. Der File Server auf dem die Word Dokumente liegen gehört unter anderem zu den Win NT Maschinen. Kann diese Mischumgebung zu verlängerten Dateizugriffen führen??

Hallo zusammen, gibt es einen Weg, Gruppenrichtlinien computerbezogen zuzuweisen? Beispiel: Es gibt die Nutzer X und Y, die lokal an einem PC aber auch auf einem Terminal Server arbeiten. Nun ist es so, dass der Gruppe der Nutzer X und Y eine Gruppenrichtlinie zugewiesen wurde. Problem: Diese Gruppenrichtlinie greift natürlich auch bei der Arbeit mit dem lokalen PC. Wird nun beispielsweise das Herunterfahren des Systems per GPO verboten, können die Nutzer X und Y den Terminal Server nicht mehr herunterfahren (administrative Rechte vorausgesetzt), was natürlich gewünscht ist. Jedoch ist jetzt das Herunterfahren des lokalen PCs ebenfalls nicht mehr möglich! Man könnte dieses Problem durch das anlegen zweier Nutzerkonten umgehen, dies zieht jedoch andere Probleme nach sich, ist also kein Ausweg. Die Frage ist also, ob sich die GPOs auch an bestimmten Computern festmachen lassen. Alternativ würde es auch reichen, wenn die Domain GPOs nicht auf dem lokalen PC greifen.

Der zwingend auch einen W2K3 Terminallizenzierungsserver benötigt! Diesen installiert man in der Regel auf einem DC. Da dein DC ein W2K Server ist muss die Terminaldienstelizenzierung auf dem W2K3 Terminalserver installiert werden, weil nur ein W2K3 Lizenzierungsserver TS CALs für einen W2K3 TS ausstellen kann (einen W2K TS bedient der W2K3 Lizenzierungsserver natürlich auch). Dies ist der einzig mögliche Weg in deiner derzeitigen Umgebung! Nachdem die Terminalserverlizenzierung aktiviert wurde müssen noch die TS CAL Token eingespielt werden und das war's. Hmmm... ganz schlecht. Sowas macht man eigentlich nicht. Wir haben einen Kunden, der alles auf einer Maschine zu laufen hat (DC, Anwendungen, Datenbanken, Terminal Server und oben drauf Citrix MetaFrame). Bis jetzt läuft noch alles... *aufdentischklopf*. Nachdem wir das FR3 von MetaFrame installiert hatten schmierte die Kiste mit einem Bluescreen ab. Image sei Dank konnten wir den Schaden wieder rückgängig machen. In jedem Fall sollte man DC und Terminal Server aber trennen. Ein TS ist mit der entsprechenden Anzahl an Anwendendungen schon heiss genug. Läuft der DC dann noch drauf brauchts nur einen 13. Freitag und schon läuft garnichts mehr... Da du bereits die Terminaldiestelizenzierung auf dem W2K3 TS installiert hast benötigst du eigentlich keinen weiteren TS Lizenzierungsserver. Wenn der TS auf dem DC bleiben soll empiehlt sich eventuell die Lizenzierungsserver jeweils auf den entsprechenden Maschinen laufen zu lassen. Das heisst auf dem W2K DC/TS läuft der Lizenzierungsdienst sowie auf dem W2K3 TS. Bedenke bitte, dass dann mit an Sicherheit grenzender Wahrscheinlichkeit jedem TS sein Lizenzierungsserver manuell zugewiesen werden muss! Alternativ kann man die Lizenzierung vom DC entfernen und diesen dann dazu zwingen den W2K3 TS Lizenzserver zu nutzen. Die entsprechenden CALs für die TS sind natürlich vorausgesetzt. TS Lizenzierungsserver für W2K3 manuell zuweisen: KB279561 TS Lizenzierungsserver für W2K manuell zuweisen: KB239107

Gibt es erstmal nicht... Das ist mehr als ich verlangen kann, thx!!!!!!

Wichtig! Über den Registry Schlüssel teilst du einem Terminal Server mit, welchen Lizenzserver er sich schnappen soll. Wenn zwei Lizenzierungsserver vorhanden sind schnappt sich das Lizenzierungssnap-in in der Regel automatisch immer den Lizenzierungsserver, der bereits aktiviert ist. Wenn du den neuen Lizenzierungsserver noch nicht aktiviert hast hol das einfach nach. Gegebenenfalls musst du den neuen Lizenzserver manuell zum Snap-In hinzufügen. Nachdem du jedoch nur noch einen Lizenzserver laufen hast sollte dieser automatisch angezeigt werden...

Die werden durch den 12Cent/Stunde Tarif der Telekom schön niedrig gehalten. Ein Idle Timeout von 15 Minuten würde sich in diesem Fall empfehlen. Nein. Nur Router 1 soll Router 2 anwählen. Die Kosten trägt der Standort mit dem Router 1. Callback ist in diesem Fall also nicht nötig. Für RAS darf es unbedingt Callback sein. Schliesslich müssen wir unsere Telefonrechnung nicht unnötig belasten... ;) Ganz heisses Thema! Muss in jedem Fall realisiert werden, da bei größeren Drucks entsprechend mehr Daten anfallen! Schon klar soweit. Solange beide Kanäle besetzt sind ist auch kein rein und raus mehr über RAS oder dergleichen. Da wir aber zunächst davon ausgehen, dass hauptsächlich nur jeweils einer der beiden B Kanäle genutzt wird ist das schon ok so. Es wird ja auch nicht rund um die Uhr über die Leitung gearbeitet. RAS ist nur für remote Administration gedacht (allerdings auf beiden Routern). Bei anderen Router Herstellern heisst es BoD (Bandwidth on Demand) oder dynamic channel bundling. Ich nehme mal an, dass es bei Cisco der load-threshold. Wie oben geschrieben soll der zweite Kanal dynamisch bei erhöhtem Datenverkehr zugeschaltet werden Ist nicht nötig. Wäre in diesem Fall eine eine einfache Fritzcard. CLID ist nicht nötig. Wäre schon toll, wenn der Router die IP für den RAS Zugang selbst vergibt. Für die Router-Router Verbindung reicht es, wenn die beiden Netze über eine entsprechende Route miteinander verbunden werden. RIP wäre überzogen... Nur zur Sicherheit noch mal. Es soll zunächst nur EIN Kanal genutzt werden. NUR bei Last soll sich der zweite Kanal dynamisch zu und später selber wieder abbauen (und dies auch nur für die Router-Router Verbindung, für RAS reicht ein Kanal)... Ich danke Dir erstmal für diese Beispielconfig. Wenn ich die Hübschen hier habe setze ich mich bei Gelegenheit ran. Hättest du eine Beispielconfig, die die oben genannten Punkte berücksichtigt?

Je nachdem was für ein Switch es ist kann man auch diesem eine IP verpassen, sogar auf allen Ports. Logischerweise ist es dann aber kein Layer 2 Switch mehr... Zu Toni An deiner Stelle würde ich mir den Kauf von teurer Hardware sparen und stattdessen mit ensprechenden Router Sims arbeiten. Das bisschen IOS was du für die Prüfung brauchst kannst du dir auch über diesen Weg und das Curriculum aneigenen. Zumindest war es damals bei mir so. Ich weiss allerdings nicht, wie es mit der 801 aussieht. Dazu können die aktuellen CCNAs sicher was sagen. :)

siehe MS KB 239107 für W2K